Configurando um Cisco VPN 5000 Concentrator com autenticação externa para um servidor RADIUS de IAS do Microsoft Windows 2000.

Opções de download

  • PDF     (589.3 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (496.6 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (517.9 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:2 de maio de 2008
ID do documento:12491

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve os procedimentos usados para configurar um Cisco VPN 5000 Concentrator com autenticação externa para um Microsoft Windows 2000 Internet Authentication Server (IAS) com RADIUS.

Observação: o CHAP (Challenge Handshake Authentication Protocol) não funciona. Use somente o PAP (Password Authentication Protocol Protocolo de Autenticação de Senha). Consulte o bug da Cisco ID CSCdt96941 (somente clientes registrados) para obter mais detalhes.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações aqui são baseadas nesta versão de software:

  • Software Cisco VPN 5000 Concentrator versão 6.0.16.0001

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Conventions

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Configuração do concentrador Cisco VPN 5000

VPN5001_4B9CBA80 
VPN5001_4B9CBA80> show config
Enter Password:

Edited Configuration not Present, using Running

[ General ]
EthernetAddress          = 00:02:4b:9c:ba:80
DeviceType               = VPN 5001 Concentrator
ConfiguredOn             = Timeserver not configured
ConfiguredFrom           = Command Line, from Console
EnablePassword           =
Password                 =
 
[ IP Ethernet 0 ]
Mode                     = Routed
SubnetMask               = 255.255.255.0
IPAddress                = 172.18.124.223
 
[ IP Ethernet 1 ]
Mode                     = Off
 
[ IKE Policy ]
Protection               = MD5_DES_G1

[ VPN Group "rtp-group" ]
BindTo                   = "ethernet0"
Transform                = esp(md5,des)
LocalIPNet               = 10.1.1.0/24
MaxConnections           = 10
IPNet                    = 0.0.0.0/0
 
[ RADIUS ]
BindTo                   = "ethernet0"
ChallengeType            = PAP
PAPAuthSecret            = "pappassword"
PrimAddress              = "172.18.124.108"
Secret                   = "radiuspassword"
UseChap16                = Off
Authentication           = On

[ Logging ]
Level                    = 7
Enabled                  = On
 
Configuration size is 1065 out of 65500 bytes.
VPN5001_4B9CBA80#

Configurar o servidor RADIUS IAS do Microsoft Windows 2000

Estas etapas o guiam através de uma configuração simples de servidor RADIUS IAS do Microsoft Windows 2000.

  1. Nas propriedades do IAS do Microsoft Windows 2000, selecione Clients e crie um novo cliente.

    Neste exemplo, uma entrada chamada VPN5000 é criada. O endereço IP do Cisco VPN 5000 Concentrator é 172.18.124.223. Na caixa suspensa Cliente-Fornecedor, selecione Cisco. O segredo compartilhado é o segredo na seção [ RADIUS ] da configuração do VPN Concentrator.

    vpn5k-msias-a.gif

  2. Nas propriedades da política de acesso remoto, selecione Conceder permissão de acesso remoto na seção "Se um usuário corresponder às condições" e clique em Editar perfil.

    vpn5k-msias-b.gif

  3. Clique na guia Autenticação e verifique se apenas Autenticação sem criptografia (PAP, SPAP) está selecionada.

    vpn5k-msias-c.gif

  4. Selecione a guia Advanced, clique em Add e selecione Vendor-Specific.

    vpn5k-msias-d.gif

  5. Na caixa de diálogo Informações de atributos de múltiplos valores do atributo específico do fornecedor, clique em Adicionar para ir para a caixa de diálogo Informações de atributos específicos do fornecedor. Selecione Enter Vendor Code e insira 255 na caixa adjacente. Em seguida, selecione Sim. Ele está em conformidade e clique em Configurar atributo.

    vpn5k-msias-e.gif

  6. Na caixa de diálogo Configure VSA (compatível com RFC), digite 4 para o número de atributo atribuído pelo Fornecedor, digite String para o formato do Atributo e digite rtp-group (nome do Grupo VPN no Cisco VPN 5000 Concentrator) para o valor do Atributo. Clique em OK e repita a etapa 5.

    vpn5k-msias-f.gif

  7. Na caixa de diálogo Configurar VSA (compatível com RFC), digite 4 para o número de atributo atribuído pelo Fornecedor, digite String para o formato do Atributo e digite cisco123 (o segredo compartilhado do cliente) para o valor do Atributo. Click OK.

    vpn5k-msias-g.gif

  8. Você vê que o atributo Vendor-Specific contém dois valores (grupo e senha de VPN).

    vpn5k-msias-h.gif

  9. Em suas propriedades de usuário, clique na guia Dial-in e certifique-se de que Control access through Remote Access Policy esteja selecionado.

    vpn5k-msias-i.gif

Verifique o resultado

Esta seção fornece informações que você pode usar para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool (somente clientes registrados) oferece suporte a determinados comandos show, o que permite exibir uma análise da saída do comando show.

  • show radius statistics — Exibe estatísticas de pacotes para comunicação entre o VPN Concentrator e o servidor RADIUS padrão identificado pela seção RADIUS.

  • show radius config — Mostra as configurações atuais dos parâmetros RADIUS.

Esta é a saída do comando show radius statistics.

VPN5001_4B9CBA80>show radius statistics

RADIUS Stats

Accounting            Primary       Secondary
Requests                 0             na
Responses                0             na
Retransmissions          0             na
Bad Authenticators       0             na
Malformed Responses      0             na
Packets Dropped          0             na
Pending Requests         0             na
Timeouts                 0             na
Unknown Types            0             na


Authentication        Primary       Secondary
Requests                 3             na
Accepts                  3             na
Rejects                  0             na
Challenges               0             na
Retransmissions          0             na
Bad Authenticators       0             na
Malformed Responses      0             na
Packets Dropped          0             na
Pending Requests         0             na
Timeouts                 0             na
Unknown Types            0             na

 

VPN5001_4B9CBA80>

Esta é a saída do comando show radius config.

RADIUS           State    UDP  CHAP16
Authentication   On      1812  No
Accounting       Off     1813  n/a
Secret           'radiuspassword'

Server     IP address      Attempts  AcctSecret
Primary    172.18.124.108         5  n/a
Secondary  Off

Configurar o VPN Client

Este procedimento o orienta através da configuração do VPN Client.

  1. Na caixa de diálogo VPN Client, selecione a guia Configuration. Em seguida, na caixa de diálogo VPN Client-Prompt for Secret, insira o segredo compartilhado em VPN Server. O segredo compartilhado do VPN Client é o valor digitado para a senha VPN do atributo 5 no VPN Concentrator.

    vpn5k-msias-j.gif

  2. Depois de inserir o segredo compartilhado, você será solicitado a fornecer uma senha e um segredo de autenticação. A senha é sua senha RADIUS para esse usuário e o segredo de autenticação é o segredo de autenticação PAP na seção [ RADIUS ] do VPN Concentrator.

    vpn5k-msias-k.gif

Registros do concentrador 

Notice   4080.11 seconds New IKE connection: [172.18.124.108]:1195:omar
Debug    4080.15 seconds Sending RADIUS PAP challenge to omar at 172.18.124.108
Debug    4087.52 seconds Received RADIUS PAP response from omar at 172.18.124.108, contacting server
Notice   4088.8 seconds VPN 0:3 opened for omar from 172.18.124.108.
Debug    4088.8 seconds Client's local broadcast address = 172.18.124.255
Notice   4088.8 seconds User assigned IP address 10.1.1.1
Info     4094.49 seconds Command loop started from 10.1.1.1 on PTY2

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
07-Dec-2001
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco